Add some extra sandboxing options to systemd_service

[chef.git] / cookbooks / systemd / resources / service.rb
diff --git a/cookbooks/systemd/resources/service.rb b/cookbooks/systemd/resources/service.rb

index 26cce29787447d617fe5d58c3382b72efb23a04b..ae09b7b7de83370b357ee6f47367fb5701dead7b 100644 (file)
--- a/cookbooks/systemd/resources/service.rb
+++ b/cookbooks/systemd/resources/service.rb
@@ -17,12 +17,17 @@
  # limitations under the License.
  #
  
  # limitations under the License.
  #
  
+unified_mode true
+
  default_action :create
  
  property :service, String, :name_property => true
  property :dropin, String
  property :description, String
  default_action :create
  
  property :service, String, :name_property => true
  property :dropin, String
  property :description, String
+property :condition_path_exists, [String, Array]
+property :condition_path_exists_glob, [String, Array]
  property :after, [String, Array]
  property :after, [String, Array]
+property :conflicts, [String, Array]
  property :wants, [String, Array]
  property :type, String, :is => %w[simple forking oneshot dbus notify idle]
  property :limit_nofile, Integer
  property :wants, [String, Array]
  property :type, String, :is => %w[simple forking oneshot dbus notify idle]
  property :limit_nofile, Integer
@@ -43,6 +48,7 @@ property :exec_stop, String
  property :exec_reload, String
  property :runtime_directory, String
  property :runtime_directory_mode, Integer
  property :exec_reload, String
  property :runtime_directory, String
  property :runtime_directory_mode, Integer
+property :runtime_max_sec, Integer
  property :standard_input, String,
           :is => %w[null tty tty-force tty-fail socket]
  property :standard_output, String,
  property :standard_input, String,
           :is => %w[null tty tty-force tty-fail socket]
  property :standard_output, String,
@@ -52,17 +58,41 @@ property :standard_error, String,
  property :success_exit_status, [Integer, String, Array]
  property :restart, String,
           :is => %w[on-success on-failure on-abnormal on-watchdog on-abort always]
  property :success_exit_status, [Integer, String, Array]
  property :restart, String,
           :is => %w[on-success on-failure on-abnormal on-watchdog on-abort always]
-property :private_tmp, [true, false]
-property :private_devices, [true, false]
-property :private_network, [true, false]
-property :protect_system, [TrueClass, FalseClass, String]
-property :protect_home, [TrueClass, FalseClass, String]
+property :protect_proc, String,
+         :is => %w[noaccess invisible ptraceable default]
+property :proc_subset, String,
+         :is => %w[all pid]
+property :capability_bounding_set, [String, Array]
+property :no_new_privileges, [true, false]
+property :protect_system, [true, false, String]
+property :protect_home, [true, false, String]
  property :read_write_paths, [String, Array]
  property :read_only_paths, [String, Array]
  property :inaccessible_paths, [String, Array]
  property :read_write_paths, [String, Array]
  property :read_only_paths, [String, Array]
  property :inaccessible_paths, [String, Array]
+property :private_tmp, [true, false]
+property :private_devices, [true, false]
+property :private_network, [true, false]
+property :private_ipc, [true, false]
+property :private_users, [true, false]
+property :protect_hostname, [true, false]
+property :protect_clock, [true, false]
+property :protect_kernel_tunables, [true, false]
+property :protect_kernel_modules, [true, false]
+property :protect_kernel_logs, [true, false]
+property :protect_control_groups, [true, false]
  property :restrict_address_families, [String, Array]
  property :restrict_address_families, [String, Array]
-property :no_new_privileges, [true, false]
+property :restrict_namespaces, [true, false, String, Array]
+property :lock_personality, [true, false]
+property :memory_deny_write_execute, [true, false]
+property :restrict_realtime, [true, false]
+property :restrict_suid_sgid, [true, false]
+property :remove_ipc, [true, false]
+property :system_call_filter, [String, Array]
+property :system_call_architectures, [String, Array]
  property :tasks_max, Integer
  property :tasks_max, Integer
+property :timeout_start_sec, Integer
+property :timeout_stop_sec, Integer
+property :timeout_abort_sec, Integer
  property :timeout_sec, Integer
  property :pid_file, String
  property :nice, Integer
  property :timeout_sec, Integer
  property :pid_file, String
  property :nice, Integer